Hallo,
ich hab folgendes Problem unzwar hab ich letztens eine Datei runtergeladen, die ein Virus sein könnte...
Nun sind seid gestern jegliche Accounts gelöscht und meine E-mails wurden alle gelöscht...
Ich habe schon jegliche antivirenprogramme durchlaufen lassen, doch immer finden diese nix...
Jmd. sagte mir, dass es sich womöglich um solch Trojaner handeln könnte:
PSW [Password Stealing Ware] - Trojaner
Win32 Trojaner

Mein Betriebssystem ist WinXp
Fehlermeldungen werden sowohl von antivir HijackThis avast! stinger nicht angezeigt

Könnte mir jmd. helfen wie ich den entferne?
Vielen dank

@masu
Bitte NUB/ Goldene 7 Regeln lesen und Beitrag korrigieren.

Zitat:

Zitat von masu

ich hab folgendes Problem unzwar hab ich letztens eine Datei runtergeladen, die ein Virus sein könnte...

Nur vom Runterladen installiert sich kein Virus.

Poste mal ein Hijackthis-Logfile; Anleitung in Signatur beachten!

Gruß
Yopie

Logfile of HijackThis v1.99.1
Scan saved at 21:08:38, on 20.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Tools und Progrämmchen\Winamp\winampa.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Tools und Progrämmchen\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Steam\Steam.exe
C:\Programme\T-Eumex\ISDN Guard\agfguard.exe
D:\Tools und Progrämmchen\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Matze\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinampAgent] D:\Tools und Progrämmchen\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] D:\Tools und Progrämmchen\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "E:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Tools und Progrämmchen\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ISDN Guard.lnk = C:\Programme\T-Eumex\ISDN Guard\agfguard.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Tools und Progrämmchen\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Tools und Progrämmchen\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

Log sieht für mich sauber aus.

Zitat:

Nun sind seid gestern jegliche Accounts gelöscht und meine E-mails wurden alle gelöscht...

Welche Accounts? Windows-Nutzeraccounts?

Welches Mailprogramm nutzt du?

Gruß
Yopie

meine Accounts bei der ESL, rushed.de, readmore.de, chip.de sind alle deletet
und bei meiner emailadresse bei web.de wurden alle meine emails gelöscht, allerdings sind bei gmx.de keine gelöscht worden

ich hab schon programme wie stinger und avast! etc. drüberlaufen lassen, aber diese finden keine würmer trojaner oder ähnliches...

mein account auf der esl seite wurde gelöscht nachdem ich eine exe datei runtergeladen hab, die eigentlich ein tool sein sollte, um eine servercfg besser einzustellen, als ich diese exe datei runtergeladen und draufgeklickt habe, kam nix weiteres, so habe ich sie direkt gelöscht, doch am nächsten morgen war halt mein account bei der esl und mein web.de account weg

Tja, das sieht nicht gut aus.

Hast du eine Möglichkeit, diese komische Datei wiederherzustellen oder nochmal zu besorgen, um sie z.B. mal unter virustotal.com scannen?

Mach auch mal einen eScan, genau nach der Anleitung in der Sig vorgehen, und poste die Funde mit der find.bat!

Gruß
Yopie

ahja ...

exec rofl_skill.cfg?

Netz gegen Cheatende Scriptkiddies
Dein Logfile ist sauber, soetwas wie nen Virus seh ich nicht.

Sende mir doch einfach mal das File per PM.

mfg,
Markus

Ich bedanke mich aber schonmal bei dir, dass du mir so eifrig hilfst!

Zitat:

Zitat von masu

meine Accounts bei der ESL, rushed.de, readmore.de, chip.de sind alle deletet... bei meiner emailadresse bei web.de wurden alle meine emails gelöscht..mein account auf der esl seite wurde gelöscht nachdem ich eine exe datei runtergeladen hab

???? Lest mal diesen Schwachsinn durch und
EOD

ergebnis folgt, ich bin sowieso schneller

mfg,
Markus

Kannst du den Link bitte rausnehmen, Links zu potentieller Malware sind hier nicht erwünscht! (Ich hab das File nun.)

Gruß
Yopie

hä was daran schwachsinnig?
Ich habe mir vorgestern abend eineserver_setup.exe datei runtergeladen!
Diese konnte ich jedoch nicht öffnen, so hab ich sie wieder entfernt.
Doch gestern morgen war mein esl account deletet und die anderen accounts auch...
so denke ich könnte ein zusammenhang damit verbunden sein!?

hab den link rausgenommen

markus was meintest du mit:

exec rofl_skill.cfg und
Netz gegen Cheatende Scriptkiddies?

ach nichts.

Es könnte sich dabei übrigens wirklich um potentiell gefährliche maleware handeln.

Das "setup" ist mit PE_PATCH UPX gepackt, wwie fast alle Viren/Trojaner auch.

Scanner bringen nix, was keinesfalls heißt, dass es "nix" ist.

Jotti:

Zitat:

AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VirusBuster Found nothing
VBA32 Found nothing

Und Virustotal ist hoffnungslos überlastet.

Und - wer schickt das File nun an die Antivirenspezis?
Übrigens würde ich gerne wissen wer dir das mit dem File geflüstert hat.
Wenn man so naiv ist und alles gleich downloadet und ausführt, sollte man sich lieber die Internetkosten sparen


mfg,
Markus

mmhh, also besteht nur die Möglicheit, dass ein hacker von aussen eingedrungen is, oder eben, dass es doch ein trojaner is, der die pws entschlüsselt?